|
|
|
|
Железный канал: «Антивирусы, комплексные системы защиты #1» |
|
|
|
Борис aka Wanderer
 105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
  |
|
Просьба АДМИНАМ НЕ СТИРАТЬ И НЕ НАКАЗЫВАТЬ ЗА ЭТУ ТЕМУ - возможно кому-то спасет компьютер.
А еще лучше, предлагаю сделать эту тему важной.
Эта инфомация пришла с Subscribe.ru
_________________
Да пусть освещают звезды ваш путь Звездные Странники!
Последний раз редактировалось: Мамонт (21:26 29-09-2014), всего редактировалось 2 раз(а) |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
Эффективный Интернет.
Выпуск 5.
Здравствуйте!
На этой неделе получил огромное количество писем от различных почтовых роботов, фильтрующих вирусы, типа такого
Съобщение съдържащо вирус е изпратено от вашия e-mail адрес. Проверете
вашия компютър за вируси!
A message containing a virus was sent from your e-mail address. It is
very likely this machine (or any other you use for e-mail) is infected!
CHECK IT AS SOON AS POSSIBLE WITH AN ANTIVIRUS PROGRAM!
Received: (qmail 26346 invoked from network); 23 Aug 2003 09:32:56 -0000
Received: from ns.analitic.ru (HELO GALA) (212.41.0.49)
by www.abv.bg with SMTP; 23 Aug 2003 09:32:56 -0000
From: <zork@pochtamt.ru>
To: <new_div@abv.bg>
Subject: Re: Your application
Date: Sat, 23 Aug 2003 17:35:39 +0800
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_C822B29F"
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Content-Type: application/octet-stream;
name="document_9446.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="document_9446.pif"
_NextPart_000_C822B29F--
Все это - результат новой вирусной инфекции.
Результат работы червяка I-Worm.Sobig.f
Вот что пишет о нем viruslist.com
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.
Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой TeLock, размер упакованного файла около 70КB, распакованного - около 100КB.
В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.
Инсталляция
При инсталляции червь копирует себя с именем winppr32.exe в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe /sinc
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe /sinc
Рассылка писем
Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма.
Поле "От:" подделывается (в него вставляется какой-либо ещё электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес admin@internet.com.
Возможны следующие варианты Заголовка писем, Текста и Имени вложения:
Заголовок:
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Текст:
See the attached file for details
Please see the attached file for details.
Вложение:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Червь также создаёт файл winstt32.dat в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем.
Распространение по сети
Червь перебирает все доступные сетевые ресурсы (другие компьютеры в сети) и копирует себя в них со случайными именами и расширением EXE.
Загрузка дополнительных файлов
Червь посылает UDP-пакеты по определённым IP-адресам на порт 8998 и в ответ ждёт команд "хозяина". Данные команды содержат в себе адреса Web-сайтов, с которых червь затем скачивает файлы и запускает их на выполнение. Таким образом червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные компоненты (троянские программы).
Прочее
Червь полностью работоспособен только в том случае, если текущая дата на зараженном компьютере меньше 10 сентября 2003 года.
Подвожу итог:
Никогда не открывайте вложения в письмах. Откажитесь от использования почтовика Outlook, пользуйтесь нормальным майлером, рекомендую THE BAT!
Уникальные компакт - диски. Школа Своего Дела. Партнерская программа. - мои рекомендации!
До скорой встречи!
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Loki
791 EGP
Репутация: 162
Сообщения: 2882
Откуда: понаехали тут
Зарегистрирован: 04.11.2002
|
|
А не лучше это в КСО?
_________________
All are equal. Of course, that doesn't stop some people from being stupid fools or jerks. |
|
|
|
Voha
 942 EGP
       
Рейтинг канала: 9(1062)
Репутация: 169
Сообщения: 4977
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
А не лучше все это заменить на:
1) не пользовать клиенты с низким уровнем секьюрности, т.е. автоматом выполняющие java[script] и ActiveX компонеты (типа аутглюк-экспресс)
2) стирать не открывая все письма, не имеющие корректного поля 'To:' (т.е. в нем стоит нечто типа 'undisclosed recipients', либо вообще любой адрес, отличный от вашего)
3) стирать не открывая все письма, не имеющие корректного поля 'From:' (любые незнакомые адреса)
2 и 3 - еще более злобно применять к письмам, имеющим вложения.
4) Поставить человеческий антивирус (типа NAV, к примеру), умеющий интегрироваться с почтовым клиентом, и регулярно его обновлять (Семантек выпускает дополнения к базе 2-5 раз в неделю).
И будет всем счастье.
З.Ы. Аутлук (не экспресс) - клиент вполне на уровне с точки зрения безопасности. не хуже и не лучше мыша. Настраивать нужно по-человечески параметры 'internet security', ибо это и для шастанья по сетке полезно.
З.З.Ы. Интеграция антивируса с клиентом криво работает на IMAP (ни одного антивируса пока не встретил, который смог бы понять перетаскивание мессаги из имап-папки в локальную и отсканить контент). Так что в этом случае пользовать глаза и ручки.
Ах да, самый главный пункт: Не спамить друзей и знакомых сообщениями о суперпуперстрашнозлобнофатальных новых вирусах. Ибо это отнимает их время, деньги и нервы, а положительных эффектов не имеет. А уж если спамить - то не текстами из почтовых рассылок, а ссылками на тот же семантек, касперских или еще кого - где статьи по вирусам пишут знающие люди, а не обыватели, овладевшие навыками ношения ватно-марлевых повязок. И где сразу дают обновления и лечилки.
_________________
Time will show... |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
2 Voha
Ну я в общем-то и дал эту тему, так как ко мне пришел этот вирус, но я его не открыл у меня оутпост сработал и переименовал его
А так как предупреждение людям вполне тема подойдет ИМХО
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Harley
1525 EGP
Рейтинг канала: 4(78)
Репутация: 336
Сообщения: 15406
Откуда: Москва
Зарегистрирован: 07.02.2001
 |
|
Тема плывет в КСО.
_________________
Я привык говорить людям правду в глаза... |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
| Цитата: |
Тема плывет в КСО.
_________________
|
Ок - помойму ей самое тут место 
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
ВНИМАНИЕ!!!!
Новый вирус!
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
Китайский почтовый червь портит Internet Explorer
Компания Symantec предупреждает о появлении в интернете нового почтового червя, названного VBS.Bingd@mm. В "Лаборатории Касперского" эту же программу называют Trojan.VBS.NoExp, а по классификации McAfee она называется VBS/Generic@MM. Червь написан на Visual Basic, а страной его происхождения является, скорее всего, Китай. Во всяком случае, тема и основной текст письма с вирусом написаны на китайском языке. При запуске вложенного в письмо файла активируется червь. Он рассылает себя по семи первым адресам из книги Outlook Express и модифицирует реестр, отключая ряд элементов интерфейса оболочки Windows и Internet Explorer. Отключаются, в частности, контекстные меню.
Насколько опасен вирус для российских пользователей, сказать сложно. С одной стороны, вряд ли письмо на китайском заинтересует многих, но с другой, если в системе не установлена поддержка китайского языка, текст письма отобразится в виде абракадабры. В этом случае пользователь может предположить наличие проблем с кодировками и открыть зараженный вложенный файл.
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
ВНИМАНИЕ!
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
Ожидаеться пришествие новой модификации Sobif'a
Симтомы теже, вложения теже - обзоводитесь фаирволами
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
ВНИМАНИЕ!
Если кто еще не понял, в интернете ЕСТЬ вирусы.
_________________
Octavius Jon (временно Quantar)
Да ну их, этих Солов. |
|
|
|
hash_people
|
|
Давайте сюда писать все те тысячи вирусов которые есть....может кому нибудь поможет
|
|
|
|
Viking
980 EGP
Репутация: 50
Сообщения: 12722 Заблокирован
Откуда: Ташкент
Зарегистрирован: 05.06.2001
|
|
Только попробуйте 
_________________
Меняю проигрыватель на выигрыватель. |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
| Цитата: |
ВНИМАНИЕ!
Если кто еще не понял, в интернете ЕСТЬ вирусы.
|
Слава Богу - кто-то уже понял....
| Цитата: |
|
Давайте сюда писать все те тысячи вирусов которые есть....может кому нибудь поможет
|
Не... не будем... кому не помогло... уже не поможет
| Цитата: |
|
Только попробуйте
|
Только самые последние эпидемические вирусы и опасные новые...
Надеюсь возражения не будет
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Demon Ru
 1757 EGP
Репутация: 211
Сообщения: 6510
Откуда: Санкт-Петербург
Зарегистрирован: 11.02.2001
|
|
Скажите, кто-то смотрит письма от НЕИЗВЕСТНЫХ посланцев?(если такие есть), Кто-то раскрывает письма , с файлом (от неизвестных)...
ЗЫ:Неуж-то есть такие люди???
|
|
|
|
hash_people
|
|
Я вообще почту удаляю не смотря даже что там....Так как ничего хорошего там не может быть... 
|
|
|
|
R_Alexis
645 EGP
Рейтинг канала: 2(24)
Репутация: 39
Сообщения: 3905
Откуда: CCCP
Зарегистрирован: 14.07.2001
|
|
Мля... А можно я сюды выложу все тела вирусов написанные на разных языках по глупой молодости, некоторые из которых до сих пор опасней этого сранного червяка Sobiq раз в десять? Мля, антивирусная тема, наверно нужна, в принципе наверно как и тема, каким порошком лучше стирать Тайдом или Порошком в белой упаковке...Тьфу...
_________________
Оставь надежду.. |
|
|
|
Борис aka Wanderer
105 EGP
Репутация: 0
Сообщения: 418
Откуда: Москва
Зарегистрирован: 06.08.2003
|
|
| Цитата: |
|
Мля... А можно я сюды выложу все тела вирусов написанные на разных языках по глупой молодости, некоторые из которых до сих пор опасней этого сранного червяка Sobiq раз в десять? Мля, антивирусная тема, наверно нужна, в принципе наверно как и тема, каким порошком лучше стирать Тайдом или Порошком в белой упаковке...Тьфу...
|
Сколько злобы-то а?
А тема открыта как раз для тех кто смотрит письма и их открывает.
Те кто этого не делает - будьте снисходительнее к тем кто это делает (с)
_________________
Да пусть освещают звезды ваш путь Звездные Странники! |
|
|
|
Jon
670 EGP
Рейтинг канала: 6(292)
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
| Борис aka Wanderer : |
А тема открыта как раз для тех кто смотрит письма и их открывает.
Те кто этого не делает - будьте снисходительнее к тем кто это делает (с)
|
2Борис aka Wanderer:
Те кто это делает, никогда не делают подобных вещей, как например чтение подобных тем. 
2R_Alexis:
|
|
|
|
|
|
|
|
|
Железный канал: «Антивирусы, комплексные системы защиты #1» |
|
|
